NET09_网络安全与网络管理

wangd@nuc.edu.cn网络工程专业实训中心第九章网络安全及网络管理中北大学电子与计算机科学技术学院SchoolofElectronicsandComputerScienceandTechnology.NUC交换今日汗水，路由明朝辉煌wangd@nuc.edu.cn网络工程专业实训中心§9网络安全及网络管理•本章内容•网络安全概述•容错技术•加密与认证•网络管理•黑客文化与安全对策wangd@nuc.edu.cn网络工程专业实训中心课程议题网络安全概述wangd@nuc.edu.cn网络工程专业实训中心网络安全概述•“安全”一词在字典中被定义为“远离危险的状态或特性”和“为防范间谍活动或蓄意破坏、犯罪、攻击或逃跑而采取的措施”。•随着经济信息化的迅速发展，计算机网络对安全要求越来越高，尤其自Internet／Intranet应用发展以来，网络的安全已经涉及到国家主权等许多重大问题。随着“黑客”工具技术的日益发展，使用这些工具所需具备的各种技巧和知识在不断减少，从而造成的全球范围内“黑客”行为的泛滥，导致了一个全新战争形式的出现，即网络安全技术的大战。wangd@nuc.edu.cn网络工程专业实训中心网络安全的概念•网络安全从其本质上来讲就是网络上的信息安全。它涉及的领域相当广泛。这是因为在目前的公用通信网络中存在着各种各样的安全漏洞和威胁。•从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论，都是网络安全所要研究的领域。•下面给出网络安全的一个通用定义：网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。wangd@nuc.edu.cn网络工程专业实训中心网络安全的定义•计算机实体安全•系统运行安全•信息安全对于网络安全，目前国际上还没有一个统一的定义，它经常与计算安全和计算机信息系统安全两个术语混淆。狭义上认为，计算机网络安全是指通过网络的拓扑结构，构造和网络协议来保证计算机网络系统的可靠、稳定和连续的正常工作。这一定义的重点在于计算机网络系统的设计上，通过技术手段提高网络系统的安全性。广义上的网络安全，则包含计算机安全和计算机信息系统安全。wangd@nuc.edu.cn网络工程专业实训中心(1)物理安全•计算机实体安全（设备、环境）•在一定的环境下，对网络系统中的设备的安全保护。包括设备的防毁、防盗、防电磁辐射或干扰，以及电源保护。•是网络安全的前提wangd@nuc.edu.cn网络工程专业实训中心(2)系统运行安全•容错性、安全审计等•网络系统运行安全是指计算机实体安全的前提下，保证网络系统不受偶然的和恶意的威胁的影响，能够正常连续工作。•网络系统的拓扑结构、构造（硬件、OS）和协议是影响网络系统运行安全的直接因素。•计算机病毒、黑客入侵是影响网络系统运行安全的外在因素。•采用有效的技术和管理手段，保证网络系统运行安全是网络安全保护最重要的环节之一。wangd@nuc.edu.cn网络工程专业实训中心(3)信息安全•计算机网络信息安全是指防治网络上的信息资源被故意的或偶然的泄露、更改、破坏，确保信息的保密性、完整性和可用性。保密性Confidentiality指防止信息在未授权的方式下被泄露完整性Integrity指信息不能被非法（未授权）更改或破坏可用性Availability指在授权的任何情况下，信息必须是可用的，防止延时或拒绝访问wangd@nuc.edu.cn网络工程专业实训中心网络面临的安全风险•与人有关的风险•与硬件和网络设计有关的风险•与协议和软件有关的风险•与Internet访问有关的风险网络系统本身（内部因素）系统外部（外部因素）(1)非授权访问(2)信息泄露(3)拒绝服务wangd@nuc.edu.cn网络工程专业实训中心网络安全措施•容错性和数据备份•防火墙技术•监视、检测程序•加密和认证•文件访问限制•对系统错误和性能趋势跟踪，发现解决问题•保持备份、引导盘及紧急修复盘•制定实施安全管理的政策和灾难恢复政策wangd@nuc.edu.cn网络工程专业实训中心课程议题容错技术wangd@nuc.edu.cn网络工程专业实训中心容错技术•容错技术是保证网络系统安全运行的关键技术之一。•具有容错性的系统可以做到局部系统故障不影响整个系统的运行。•容错性在实现的程度上是不同的。•对实施冗余容错措施需要额外的网络开销，因此需要了解网络中容易出错的关键点以及它们的故障对于整个网络的影响是如何产生的。wangd@nuc.edu.cn网络工程专业实训中心1、环境•物理环境：•温度•湿度•自然灾害设备间：空调、温度、湿度监视wangd@nuc.edu.cn网络工程专业实训中心2、供电•常见供电问题：•浪涌•线扰（电磁干扰）•电力不足•彻底断电功率、时间、线波动、成本参考指标：UPS发电机（柴油、汽油、天然气、蒸汽）后备式（交换式）在线式（持续式）wangd@nuc.edu.cn网络工程专业实训中心3、拓扑结构•星型、总线、环型、网状、层次•FDDIAB故障点ABCD故障点wangd@nuc.edu.cn网络工程专业实训中心4、连接•网络设备：（路由器、防火墙、网桥、交换机、Hub）•建立冗余的电源、冷却风扇、接口以及I/O模块•提供热切换能力•网络连接：（接入网、骨干网）•建立冗余链路•考虑负载平衡wangd@nuc.edu.cn网络工程专业实训中心5、服务器•廉价冗余磁盘阵列RAID•所谓磁盘阵列是指一组硬盘或驱动器以RAID方式构成的驱动器集合•服务器镜像•服务事务和数据存储互为副本，建立同步•服务器集群Cluster•将多台服务器连起来使它们像一台服务器那样工作的一种容错技术wangd@nuc.edu.cn网络工程专业实训中心RAID•RedundantArrayofInexpensiveDisks•6levelsredundancy,0-5RAID0Stripesdataacrossmultipledisks,noparity,sothereisnoredundancy.RAID1Diskmirroring(diskduplexing)writesdatatotwoidenticalpartitionsonseparateharddisks.DiskduplexingusestwoharddiskcontrollercardsRAID2Writesdataacrossmultipleharddisks,witherrorchecking.RAID3Stripesdataonebyteatatimeandhasadedicatedparitydrive.RAID4Stripesdataonesectoratatimeandhasadedicatedparitydrive.RAID5Stripesdataandparityacrossmultipledisks(requireaminimumof3drives).Bymixingtheparityacrossallofthedisks,aseparateparitydiskisnotrequiredandyetfulldataredundancyisachieved.wangd@nuc.edu.cn网络工程专业实训中心RAID0：磁盘条带化192K64K64K64KDisk1Disk2Disk3wangd@nuc.edu.cn网络工程专业实训中心RAID1：磁盘镜像DiskI/ODiskmirroringsoftwarewangd@nuc.edu.cn网络工程专业实训中心RAID5:带奇偶校验的磁盘条带化Disk1Disk2Disk3Disk4Disk5Parityinformationwangd@nuc.edu.cn网络工程专业实训中心课程议题加密与认证wangd@nuc.edu.cn网络工程专业实训中心加密的历史•作为保障数据安全的一种方式，数据加密起源于公元前2000年。埃及人是最先使用特别的象形文字作为信息编码的人。•随着时间推移，巴比伦、美索不达米亚和希腊都开始使用一些方法来保护他们的书面信息。wangd@nuc.edu.cn网络工程专业实训中心密码学的发展•密码学的发展可以分为两个阶段：•第一个阶段是计算机出现之前的四千年，这是传统密码学阶段，基本上靠人工对消息加密、传输和防破译。•第二阶段是计算机密码学阶段：•常规密钥密码体制解密是加密的简单逆过程，两者所用的密钥是可以简单地互相推导的，因此无论加密密钥还是解密密钥都必须严格保密。•公开密钥密码体制wangd@nuc.edu.cn网络工程专业实训中心重要概念•密码编码学(cryptography)是密码体制的设计学，而密码分析学(cryptanalysis)则是在未知密钥的情况下从密文推演出明文或密钥的技术。密码编码学与密码分析学合起来即为密码学(cryptology)。•如果不论截取者获得了多少密文，但在密文中都没有足够的信息来唯一地确定出对应的明文，则这一密码体制称为无条件安全的，或称为理论上是不可破的。•如果密码体制中的密码不能被可使用的计算资源破译，则这一密码体制称为在计算上是安全的。wangd@nuc.edu.cn网络工程专业实训中心一般的数据加密模型E加密算法D解密算法加密密钥K解密密钥K明文X明文X密文Y=EK(X)截取者截获篡改密钥源安全信道wangd@nuc.edu.cn网络工程专业实训中心常规密钥密码体制•所谓常规密钥密码体制，即加密密钥与解密密钥是相同的密码体制。•这种加密系统又称为对称密钥系统。wangd@nuc.edu.cn网络工程专业实训中心替代密码•替代密码(substitutioncipher)的原理可用一个例子来说明。（密钥是3）abcdefghijklmnopqrstuvwxyzDEFGHIJKLMNOPQRSTUVWXYZABCcaesarcipherFDHVDUFLSKHU明文密文明文c变成了密文Fwangd@nuc.edu.cn网络工程专业实训中心替代密码•替代密码(substitutioncipher)的原理可用一个例子来说明。（密钥是3）abcdefghijklmnopqrstuvwxyzDEFGHIJKLMNOPQRSTUVWXYZABCcaesarcipherFDHVDUFLSKHU明文密文明文a变成了密文Dwangd@nuc.edu.cn网络工程专业实训中心替代密码•替代密码(substitutioncipher)的原理可用一个例子来说明。（密钥是3）abcdefghijklmnopqrstuvwxyzDEFGHIJKLMNOPQRSTUVWXYZABCcaesarcipherFDHVDUFLSKHU明文密文明文e变成了密文Hwangd@nuc.edu.cn网络工程专业实训中心置换密码•置换密码(transpositioncipher)则是按照某一规则重新排列消息中的比特或字符顺序。根据英文字母在26个字母中的先后顺序，我们可以得出密钥中的每一个字母的相对先后顺序。因为密钥中没有A和B，因此C为第1。同理，E为第2，H为第3,……，R为第6。于是得出密钥字母的相对先后顺序为145326。CIPHER145326attackbeginsatfour密钥顺序明文wangd@nuc.edu.cn网络工程专业实训中心置换密码•置换密码(transpositioncipher)则是按照某一规则重新排列消息中的比特或字符顺序。根据英文字母在26个字母中的先后顺序，我们可以得出密钥中的每一个字母的相对先后顺序。因为密钥中没有A和B，因此C为第1。同理，E为第2，H为第3,……，R为第6。于是得出密钥字母的相对先后顺序为145326。CIPHER145326attackbeginsatfour密钥顺序明文wangd@nuc.edu.cn网络工程专业实训中心置换密码•置换密码(transpositionc